[KB6119] Configurar las reglas de HIPS en los productos corporativos ESET para protegerse del ransomware

Escenario

  • Desea Configurar reglas adicionales de HIPS en los siguientes productos ESET para Windows o crear una política en ESET PROTECT con ajustes adicionales de HIPS para protegerse ante Filecoder (ransomware)
    • ESET Endpoint Security
    • ESET Endpoint Antivirus
    • ESET Mail Security para Microsoft Exchange
    • ESET File Security para Microsoft Windows Server

Haga clic en cada imagen para abrir una nueva ventana para conocer configuraciones de políticas y mejores prácticas anti-ransomware adicionales:

Detalles

El Sistema de prevención de intrusiones basado en el Host (HIPS) se encuentra incluido en ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security para Microsoft Exchange y ESET File Security para Microsoft Windows Server. HIPS monitorea la actividad del sistema y emplea un conjunto de reglas predefinidas con el fin de reconocer un comportamiento sospechoso del sistema.

Cuando esta clase de actividad es identificada, el mecanismo de autodefensa de HIPS detiene el programa o proceso amenazante para evitar la potencial actividad dañina. Al prohibir la ejecución estándar de JavaScript y otros scripts, el ransomware no logra ser descargado o ejecutado. Para ayudar aún más a impedir que el ransomware ingrese en sistemas Windows, cree las siguientes reglas en los productos coporativos de ESET con HIPS o cree y aplique una Política en ESET PROTECT.

Solución

No ajuste las políticas en sistemas en producción 

Los siguientes ajustes de políticas son considerados "mejores prácticas" pero la configuración específica que requiere su entorno podría variar. Recomendamos que pruebe los ajustes para cada implementación en un entorno de evaluación antes de aplicarlo a un ambiente productivo.

    1. Abra la Consola web de ESET Remote Administrator (ERA Web Console) en su navegador e inicie sesión. ¿Cómo abro ERA Web Console?

    2. Haga clic en Admin Políticas, seleccione la política del Agente que se encuentra siendo aplicada a su servidor (su política predeterminada) y luego haga clic en Políticas Editar.

      Alternativamente, puede crear una nueva política en ESET Remote Administrator (6.x).

    3. Expanda Configuración Antivirus, haga clic en HIPS y luego en el vínculo Editar próximo a Reglas

Figura 1
Haga clic sobre la imagen para ampliarla


Haga clic sobre el símbolo + para expandir cada sección que permitirá crear las reglas de HIPS rules para los procesos sugeridos.


I. Impedir procesos secundarios de parte de scripts ejecutables
    1. Haga clic en Agregar, y escriba “Impedir procesos secundarios de parte de scripts ejecutables” dentro del campo Nombre de regla

    2. Dentro del menú desplegable Acción, seleccione Bloquear.

      Habilite las siguientes opciones:

      • Aplicaciones
      • Habilitado
      • Registrar
      • Notificar al usuario

Figura 1-1

  1. Haga clic en Siguiente y, dentro de la ventana Aplicaciones de origen, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe

Figura 1-2

  1. Haga clic en Siguiente, haga clic sobre la barra deslizante próxima a Iniciar una nueva aplicación para activarla y por último en Siguiente

.

Figura 1-3

  1. Seleccione Todas las aplicaciones dentro del menú desplegable y haga clic en Finalizar

Figura 1-4

Conserve abierta la ventana de Reglas HIPS y continúe con la próxima sección.  

II. Impedir procesos de scripts iniciados por explorer
  1. En la ventana de Reglas HIPS haga clic en Agregar.  

Figura 2-1

    1. Escriba “Impedir procesos de scripts iniciados por explorer” dentro del campo Nombre de regla.

    2. Dentro del menú desplegable Acción seleccione Bloquear

      Habilite las siguientes opciones:
      • Aplicaciones
      • Habilitado 
      • Registrar 
      • Notificar al usuario

Haga clic en Siguiente

Figura 2-2

  1. En la ventana Aplicaciones de origen, haga clic en Agregar, escriba “C:Windowsexplorer.exe” dentro del campo Especificar ruta del archivo y luego haga clic en Aceptar. Haga clic en Siguiente

Figura 2-3

  1. Haga clic en Siguiente, haga clic sobre la barra deslizante próxima a Iniciar una nueva aplicación para activarla y por último en Siguiente

Figura 2-4

  1. Dentro de la ventana Aplicaciones, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\SysWOW64\cscript.exe

Haga clic en Finalizar

Figura 2-5

Conserve abierta la ventana de Reglas HIPS y continúe con la próxima sección. 

III. Impedir procesos secundarios de parte de los procesos de Office 2013/2016
  1. En la ventana de Reglas HIPS haga clic en Agregar

Figura 3-1

    1. Escriba “Impedir procesos secundarios de parte de los procesos de Office 2013” dentro del campo Nombre de regla

    2. Dentro del menú desplegable Acción seleccione Bloquear

      Habilite las siguientes opciones:
      • Aplicaciones
      • Habilitado 
      • Registrar 
      • Notificar al usuario

Haga clic en Siguiente

Figura 3-2

  1. Dentro de la ventana Aplicaciones de origen, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Program Files\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files\Microsoft Office\Office15\POWERPNT.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXE
    • C:\Program Files (x86)\Microsoft Office\Office15\POWERPNT.EXE

Haga clic en Siguiente

Figura 3-3

  1. Haga clic en Siguiente, haga clic sobre la barra deslizante próxima a Iniciar una nueva aplicación para activarla y por último en Siguiente.

Figura 3-4

  1. Dentro de la ventana Aplicaciones, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe
    • C:\Windows\System32\rundll32.exe
    • C:\Windows\SysWOW64\rundll32.exe

Agregue las versiones adicionales de Office que sean necesarias, repitiendo las mismas instrucciones.

  • 2016 = Office16 (C:\Program Files (x86)\Microsoft Office\Root\Office16\...)
  • 2010 = Office14

Haga clic en Finalizar.

Figura 3-5

Conserve abierta la ventana de Reglas HIPS y continúe con la próxima sección. 

IV. Impedir procesos secundarios de regsrv32.exe
  1. En la ventana de Reglas HIPS haga clic en Agregar

Figura 4-1

    1. Ingrese “Impedir procesos secundarios de regsrv32.exe” dentro del campo Nombre de regla.

    2. Dentro del menú desplegable Acción seleccione Bloquear

      Habilite las siguientes opciones:
      • Aplicaciones
      • Habilitado 
      • Registrar 
      • Notificar al usuario

Haga clic en Siguiente

Figura 4-2

  1. Dentro de la ventana Aplicaciones de origen, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\regsvr32.exe
    • C:\Windows\SysWOW64\regsvr32.exe

Haga clic en Siguiente

Figura 4-3

  1. Haga clic en Siguiente, haga clic sobre la barra deslizante próxima a Iniciar una nueva aplicación para activarla y por último en Siguiente.

Figura 4-4

  1. Dentro de la ventana Aplicaciones, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Haga clic en Finalizar.

Figura 4-5

Conserve abierta la ventana de Reglas HIPS y continúe con la próxima sección. 

V. Impedir procesos secundarios de mshta.exe
  1. En la ventana de Reglas HIPS haga clic en Agregar

Figura 5-1

    1. Ingrese “Impedir procesos secundarios de mshta.exe” dentro del campo Nombre de regla.

    2. Dentro del menú desplegable Acción seleccione Bloquear

      Habilite las siguientes opciones:
      • Aplicaciones 
      • Habilitado 
      • Registrar 
      • Notificar al usuario

Haga clic en Siguiente

Figura 5-2

  1. Dentro de la ventana Aplicaciones de origen, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\mshta.exe
    • C:\Windows\SysWOW64\mshta.exe

Haga clic en Siguiente.

Figura 5-3

  1. Haga clic en Siguiente, haga clic sobre la barra deslizante próxima a Iniciar una nueva aplicación para activarla y por último en Siguiente.

Figura 5-4

  1. Seleccione Todas las aplicaciones dentro del menú desplegable y haga clic en Finalizar

Figura 5-5

Conserve abierta la ventana de Reglas HIPS y continúe con la próxima sección. 

VI. Impedir procesos secundarios de rundll32.exe
  1. En la ventana de Reglas HIPS haga clic en Agregar

Figura 6-1

    1. Escriba “Impedir procesos secundarios de rundll32.exe” dentro del campo Nombre de regla.

    2. Dentro del menú desplegable Acción seleccione Bloquear

      Habilite las siguientes opciones:
      • Aplicaciones
      • Habilitado
      • Registrar
      • Notificar al usuario

Haga clic en Siguiente.

Figura 6-2

  1. En la ventana Aplicaciones de origen, haga clic en Agregar y escriba la siguiente ruta:
    • C:WindowsSystem32\rundll32.exe

Haga clic en Aceptar y luego en Siguiente.

Figura 6-3

  1. Haga clic en Siguiente, haga clic sobre la barra deslizante próxima a Iniciar una nueva aplicación para activarla y por último en Siguiente.

Figura 6-4

  1. Dentro de la ventana Aplicaciones, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\cmd.exe
    • C:\Windows\SysWOW64\cmd.exe
    • C:\Windows\System32\wscript.exe
    • C:\Windows\SysWOW64\wscript.exe
    • C:\Windows\System32\cscript.exe
    • C:\Windows\SysWOW64\cscript.exe
    • C:\Windows\System32\ntvdm.exe
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Haga clic en Finalizar.

Figura 6-5

Conserve abierta la ventana de Reglas HIPS y continúe con la próxima sección. 

VII. Impedir procesos secundarios de powershell.exe
  1. En la ventana de Reglas HIPS haga clic en Agregar

Figura 7-1

    1. Escriba “Impedir procesos secundarios de powershell.exe” dentro del campo Nombre de regla.

    2. Dentro del menú desplegable Acción seleccione Bloquear

      Habilite las siguientes opciones:
      • Aplicaciones
      • Habilitado 
      • Registrar 
      • Notificar al usuario

Haga clic en Siguiente.

Figura 7-2

  1. Dentro de la ventana Aplicaciones de origen, haga clic en Agregar e ingrese las siguientes entradas, haciendo clic en Aceptar y en Agregar luego de cada ingreso:
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Haga clic en Siguiente

Figura 7-3

  1. Haga clic en Siguiente, haga clic sobre la barra deslizante próxima a Iniciar una nueva aplicación para activarla y por último en Siguiente.

Figura 7-4

  1. Seleccione Todas las aplicaciones dentro del menú desplegable y haga clic en Finalizar

Figura 7-5

  1. Cuando finalice de agregar las reglas de HIPS, haga clic en Finalizar para guardar los ajustes de la política. 

Figura 7-6

Asistencia adicional